AD-Integration MediaWiki
Moin,
wir nutzen MediaWiki als Dokumentationssystem rein intern ohne Zugriff aus dem Internet. Nun bin ich darauf gestoßen, dass man das auch an das AD anbinden kann. Das wäre nice to have. Ich habe folgende Anleitung befolgt:
https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration
Das hat auch soweit alles geklappt. Leider kann sich niemand mehr anmelden. Es soll ein SSO werden (laut diversen Informationen aus dem Netz). Ich bekomme aber immer die Meldung "Die Anmeldedaten können nicht verifiziert werden". Kennt jemand den Fehler und auch eine Lösung?
Debian Buster (aktuell),
MediaWiki 1.37.2
PHP 7.4.33 (apache2handler)
MariaDB 10.5.19-MariaDB-0+deb11u2
ICU 67.1
AD Hosts: Server 2019 (auch aktuell)
Liebe Grüße
Erik
wir nutzen MediaWiki als Dokumentationssystem rein intern ohne Zugriff aus dem Internet. Nun bin ich darauf gestoßen, dass man das auch an das AD anbinden kann. Das wäre nice to have. Ich habe folgende Anleitung befolgt:
https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration
Das hat auch soweit alles geklappt. Leider kann sich niemand mehr anmelden. Es soll ein SSO werden (laut diversen Informationen aus dem Netz). Ich bekomme aber immer die Meldung "Die Anmeldedaten können nicht verifiziert werden". Kennt jemand den Fehler und auch eine Lösung?
Debian Buster (aktuell),
MediaWiki 1.37.2
PHP 7.4.33 (apache2handler)
MariaDB 10.5.19-MariaDB-0+deb11u2
ICU 67.1
AD Hosts: Server 2019 (auch aktuell)
Liebe Grüße
Erik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7508772383
Url: https://administrator.de/forum/ad-integration-mediawiki-7508772383.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
hab mit unserem MediaWiki/ Bluespice damals auch etwas herumhexen dürfen/ müssen...
funktioniert ldapsearch generell bei dir? https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration#Debug ...
Darf euer Debian den DC befragen (Firewall)?
Nutzt ihr LDAPS?
hab mit unserem MediaWiki/ Bluespice damals auch etwas herumhexen dürfen/ müssen...
funktioniert ldapsearch generell bei dir? https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration#Debug ...
Darf euer Debian den DC befragen (Firewall)?
Nutzt ihr LDAPS?
Habe das gerade mal auf einer Test-VM getestet und hatte mit folgender Anpassung in der LocalSettings.php Erfolg
(Hier nur der IF-Abschnitt alles andere kann bleiben
Ich hatte das ganze dann noch statt mit ClearText LDAP mit SSL gemacht (CA Cert in den Trust-Store importieren nicht vergessen).
Man kann den AD Login über das Plugin auch vorher nochmal testen, über die mitgelieferten Maintenance-Skripts unter
Zeppel
(Hier nur der IF-Abschnitt alles andere kann bleiben
// Activate Extension
if ( $ldapConfig ) {
wfLoadExtension( 'PluggableAuth' );
wfLoadExtension( 'LDAPProvider' );
wfLoadExtension( 'LDAPAuthentication2' );
wfLoadExtension( 'LDAPAuthorization' );
wfLoadExtension( 'LDAPUserInfo' );
wfLoadExtension( 'LDAPGroups' );
$LDAPProviderDomainConfigProvider = "\\MediaWiki\\Extension\\LDAPProvider\\DomainConfigProvider\\LocalJSONFile::newInstance";
$LDAPProviderDomainConfigs = $ldapJsonFile;
// Force LDAPGroups to sync by choosing a domain (e.g. first JSON object in ldap.json)
$LDAPProviderDefaultDomain = "testlab.intern";
$wgPluggableAuth_Config['Anmelden (testlab.intern)'] = [
'plugin' => 'LDAPAuthentication2',
'data' => [
'domain' => 'testlab.intern'
]
];
$wgPluggableAuth_EnableLocalLogin = false;
$LDAPAuthentication2AllowLocalLogin = false;
}
{
"testlab.intern": {
"connection": {
"server": "server.testlab.intern",
"port": "3269",
"user": "CN=MediaWikiAuth,CN=Users,DC=TESTLAB,DC=INTERN",
"pass": "Passw0rd",
"enctype": "ssl",
"options": {
"LDAP_OPT_DEREF": 1
},
"basedn": "dc=testlab,dc=intern",
"userbasedn": "dc=testlab,dc=intern",
"groupbasedn": "dc=testlab,dc=intern",
"searchattribute": "samaccountname",
"usernameattribute": "samaccountname",
"realnameattribute": "cn",
"emailattribute": "mail",
"grouprequest": "MediaWiki\\Extension\\LDAPProvider\\UserGroupsRequest\\UserMemberOf::factory",
"presearchusernamemodifiers": [ "spacestounderscores", "lowercase" ]
},
"userinfo": [],
"authorization": [],
"groupsync": {
"mapping": {
"engineering": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",
"bureaucrat": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",
"interface-admin": "CN=xxxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",
"sysop": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN"
}
}
}
}
Man kann den AD Login über das Plugin auch vorher nochmal testen, über die mitgelieferten Maintenance-Skripts unter
php ./extensions/LDAPProvider/CheckLogin.php --conf ./LocalSettings.php --domain testlab.intern --username MaxMuster
Zeppel
Das Plugin dafür findest du hier
https://m.mediawiki.org/wiki/Extension:PluggableSSO
https://m.mediawiki.org/wiki/Extension:PluggableSSO